惡意軟體就在Docker容器中?
至頂網安全頻道 07月30日 綜合消息: 研究人員們警告稱,Docker容器很可能成為惡意軟體感染的完美掩飾環境。
在本屆於拉斯維加斯召開的2017美國黑帽大會上,Aqu Security公司研究人員Michael Cherny與Sagie Dulce指出,Docker API可被用於實現遠程代碼執行與安全機制迴避等目的。
作為開發人員群體當中人氣極高的代碼測試方案,Docker能夠建立起一套完整的IT堆棧(包含操作系統、固件以及應用程序),用以在容器這一封閉環境當中進行代碼運行。儘管其結構本身非常適合實現代碼測試,但容器技術亦可能被攻擊者用於在企業環境內進行惡意軟體感染。
研究人員們解釋稱,攻擊者不僅能夠在企業網路之內運行惡意軟體代碼,同時亦可在過程當中配合較高執行許可權。
在攻擊當中,惡意一方往往會誘導受害者打開受控網頁,而後使用REST API調用執行Docker Build命令,藉以建立起能夠執行任意代碼的容器環境。通過一種名為「主機重綁定」的技術,攻擊者能夠繞過同源政策保護機制並獲得底層Moby Linux虛擬機當中的root訪問能力。
如此一來,攻擊者將能夠竊取開發者登錄憑證、在開發者設備上運行惡意軟體或者將惡意軟體注入至容器鏡像之內,進而在該容器的每一次啟動當中實現感染傳播。
作者們解釋稱,「在攻擊完成之後,攻擊者將獲取到受害者網路的完全訪問能力,並在其中駐留持久代碼。由於這部分代碼運行在Moby Linux虛擬機當中,因此很難被檢測發現。」
門扉大開
更令人憂心的是,容器與開發者帳戶往往擁有高級系統訪問許可權。當在本地開發者的PC設備上運行Docker時,其極易受到跨站點偽造攻擊等入侵手段的影響,意味著攻擊者將能夠利用TCP請求處理等安全缺陷實現惡意目的。
研究人員們指出,「事實上,每一位安裝有Docker for Windows的開發者都會在基本地設備上直接運行Docker。這主要是因為,即使Docker守護程序與容器運行在虛擬機環境之下,Docker客戶端仍然能夠同主機守護程序進行通信。」
Aqua Security公司表示其已經將其中一種攻擊向量——即存在安全缺陷的TCP組件——上報至Docker方面,對方則發布了更新對其進行修復。
然而,Cherny與Dulce表示Docker當中還存在著其它一些可資利用的漏洞,這不僅可被用於感染容器,同時亦會影響到系統上運行的其它虛擬機乃至主機設備。
「大家必須對鏡像進行掃描以消除可被利用的惡意軟體或者安全漏洞。另外,運行時保護機制能夠幫助您的容器擁有與預期相符的運作效果,且不致執行任何惡意行為。」
※微軟計劃將Azure轉化為「智能雲」
※Amazon可能正在與微軟在醫療保健領域進行密切合作
※藉以物聯網感知消費者,才能稱得上是真正的「零售銀行」
※Amazon第二季度收益未達預期 但AWS助其收入攀升
TAG:ZD至頂網 |
※DockerCon:Docker發布管理軟體容器的新功能
※針對惡意軟體Smoke Loader新樣本的分析
※在GoogleUserContent上的圖片中隱藏惡意軟體
※惡意軟體針對Google的DoubleClick
※Grey Energy惡意軟體脫殼
※淺析用於挖掘虛擬幣的惡意軟體變體CoinMiner-FOZU!
※使用Delphi Packer來繞過惡意軟體檢測
※Cryptojacking的倫理:猖獗的惡意軟體?
※針對內核中運行的惡意軟體Uroburos的分析
※一種新的Android惡意軟體HiddenMiner,影響印度和中國的用戶
※如何 Docker 化編譯的軟體
※Google的DoubleClick廣告分發加密貨幣挖掘惡意軟體
※微軟Windows Defender廣受好評,第三方殺毒軟體已沒用?
※奧運會的毀滅者:Olympic Destroyer 惡意軟體
※Bashlite IoT惡意軟體更新
※Kardon Loader惡意軟體出現在地下論壇的廣告中
※Android埠開放,惡意軟體趁虛而入
※開掛的惡意軟體——Part 1:簡單的CMD反向shell
※無需安裝即可使用的軟體——TeamViewer
※Google Play中發現「clipper」惡意軟體,貨幣交易中隨意替換錢包地址